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Erteilungsverfitliren m m Erteilen emer VeranHerungsbeiech tipimg 



Die B&idung bezidbt si<^ auf ein EiteilimgsverMaen, ^ 
5 VeiSndeniiigseiimcfatung erne VearSndenmgsbeiechtigung zum VerSndan einer 
Applikation in einem Datentrager zu erteUra^ 

Die mfindung bezieht sich waiters auf einen Datentrager zum Abaibeiten 
zumindest ^er Applikation. 

Die Erfindung bezieht sich waiters auf eine VerSndenjngseiniichtung zum 
10 Verandem einer Applikation in dem Datentrager. 

Ein solcher DatentiSger ist in dem Dokument EP 0 935 214 A o£fenbai% wobei 
der DatentrSger durch eine Chipkarte gebildet ist Rechnetmittel des Dalentrigers sind zum 

15 Abarbeiten mehrerer AppMcationen beziehungsweise Softwarepxogramme ausgebildet Der 
bekannlB DatentrSger kami beispielsweise eine Bank-Applikation abaibeiten, bei deren 
Abaibeitung Geldbetrage bei emem Bankautomaten auf den Datentrager aufgeladen und in 
einem Geschaft zur Bezahlung verwendet werden kdnnen. Weiters kdnnte der bekannte 
Datentrager eine Patienten-Applikation abarbeiten, bei deren Abarbeitung Patientendaten 

20 von Arzten und Krankenkassen ausgelesen und verandert werden konnen. Eine VielzaU 
weiterer Applikationen, wie beispielsweise Kreditkarten-AppIikationBn oder Fahrschein- 
Applikationen, sind dem Fachmann bekamit 

Wean mit so einem DatentrSger, der die Kreditfcarten-Applikation sd>aibeitBli 
bei einem Kieditkartentenninal eine Zahlung duichgeffihrt werden soU, dann wird zur 

25 Verifikation der Gmtigkdt des DatenttSgers eine den Datentrager kennzeichnende 

Datentragerkenninformation von dem Kreditkartenterminal an ein sogenamites Trustcenter 
elektronisch iibennittelt. Das Trustcenter pritft die Gultigkeit der 
Datentragerkenninformation und gibt im Fall eines positiven PrOfungsergebnisses eine 
Gultigkeitsinformation elektronisch an das Kreditkartentraminal ab. 

30 Bei dem bekanntenDalentcSger werden die AppUkationenunmittelbar bei der 

Herstellung des Datentragers auf jeden Fall aber vor der Ausgabe an Benutzer des 
DatentrSgers in Speichetmitteln des DatenttSgers gespeidhert beziehungsweise installiert 
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Wenn mehrere Applikationen auf einem Datentrager installiert wuiden, datm muss 
sichergestellt sein, dass die Applikationen War von einander getretmt abgearbeitet werden 
und unerwunschte gegenseilige Zugrifife auf gegebeaen&lls geheime oder 
sicherheitsrelevante Daten (z3. Geldbetrage, Pati«itendaten) verMndert yvecdea. 
5 Enteprechende Vorfcehrungen sind in EP 0 935 214 A oflEenbart Auch bei der VerSndening 
einer in einem Datentiag^ abgearbeiteten oder abzuarbeitenden Applikalion muss 
sicheigesteUt sein, dass andeie von dem DatentrSger abgeaibeitete Applikationen nicht 
beeiatcSchtigt werden. Weitera muss sichergestellt sein, dass nur zur Veranderung von 
Applikationen berechtigte Personen oder Einrichtungen auf die Speichetmittel des 
10 Datentragers entsprechenden Zugriff erhalten. ZusStzlich muss die Identitat des 

Datentragers vor einer Installation der Applikation zweifels&ei sichergestellt werden, damit 
die Applikation nicht auf einem anderen, dutch Dtitte manipulierten Datentr3ger 
gespeichert wird. 

15 

Die &£ndnng hat sich zur Aufgabe gestellli ein Erteilungsverfehren gemaB der 
in dem ersten Absatz angegebenen Gattung, einen Datentrager gemaB der in dem zweiten 
Absatz angegebenen Gattung und eine Veranderungseinrichtung gemaB der in dem dritten 
Absatz angegebenen Gattung zu schaffen, bei der die vorstehend angegebenen 

20 Vorkehrungen getrofifen sind. Zur Losung vorstehend angegebener Aufgabe sind bei einem 
solchen ErteilungsverGahren jfolg^de Verfiihrensschritte vor^sehen: 
Etzeugen einer ersten SchUisselinfonnatioii und einer zugehdrigen zweiten 
ScUusselinformatian ffir einen oder mehrere duich eine DatenlragerkenninfonnatiQn 
gekennzeichneten DatentrSger; 

-25 — i^rtelTen der Verapderungsberechtigung fiir d urch dieDatentragerkenninformation 

gebennzeichnete Datentrager durch Abgeben der Datentragerkenniotbrmation und dCT 

zugehorigen zweiten SchlusseltDformation an die Veranderungseinrichtung; 
Oberprufen der Zugehdrigkeit der in dem Datentrager gespeicherten ersten 
Schlusseltnformation zu der von der Veranderungseintichtung an den Datentrager 

30 abgegdsenen zweiten SchliisselinfoimatiQn in dem Datentrager und im Fall eines positiven 
PrOfiingseisebnisses; 

Zulassen der VeiSnderung der Applilaition in dem Datentciger durch die 
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Veiaiiderungseimichtimg. 

Zur LSsung yorstehend aagegebener Au^be ist ein solcher DatentrSger duich 
folgende Merianale gekennzeichnet: Rechnennitteln zum Abarbeiten der zumindest einen 
Applikation. wobei fiber die SchnittsteUen kon^munizierte oder in dem Datentrager 
5 gespeicherte Ihfiwmationen verarbeitet werden, und mit 

Speichemaitteln zum Speichem einer ersten ScWusselinfonnation und einer zugehfirigen 
den Datentrager kennzeichnenden Datentragerkenninfimnation und mit 
Prufinittelnz^nPrufeneinerVerinderungsberechtigungein^ 

zurVeranderung einer Applikation in demDatentragerm^r die Schnite^^^^ 
10 I^ttelzumPrufenderZugdifirigkeitderindenSpdchem^^ 

ScMusselinformation zu der von der VerSnderungseinrichtung an den Datentrager 
abgeg*enen zweiten SchliisselinfiMmation ausgebildet sind und mit 
Verandeningsmitteln, die nach demBestatigen der Veranderungsberechtigungder 
Veranderungseinrichtung durch die PruMttel. zum ErmogKchen der Vera 
Applikation in dem Datentrager durch die Veranderungseimichtung ausgebfldet sind. 

Zur Losung vorstehend angegebener Aufgabe ist eine solche 
Veranderungseimichtung durch folgende Merkmale gekennzeichnet: zumindest eine ' 
Schmttstelle zum konlaktlosen 
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von 



Bifoimalionen mit einem durch eine Datentragerkemrinformation gekemizeichneten 
20 Datentrager und mit 

Speichermitteto zum Speichem zumindest einer einen Datentrager kemizeichn^^^ 
Datemragerkemrinformation und zugehSrigen zweiten Schliisselinformation und mit 
Rfichnermitteto zum Verandem von Applikationen in Datentragem iiber die SchnittsteUe 
wobei bei einer Kommunikation mit einem dutch eine gespeicherte 

25 DatentragerkenninfomxationgekemizdchnetenDatentragerdieVeranderu^ 
der Veranderungseinrichtung durch Kommunikation der dieser 

Datentragerkenninformation zugehfirigen zweiten SchlOsseHnfom^tion an den Datentrager 
abgegeben wird, worauf nach Bestatigung der Veranderungsberechtigung durch den 
Datentrager die Veraaderungsehmchtung zum Verandem der Applikation in dem 
30 Datentrager berechtigt und ausgebQdet ist 

Durch die erfindungsgemaBen Merkmale ist eneicht, dass ffir Datentrager die 
durch eine Datentragerkemunformation gekem^ichnet sind. eine jeweils zugehfirige 'erste 
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und zweite Schlusselinfomiation erzeugt werden kann. Die ersfe Schlusselinfonnaiion und 
die DatentragerkenninformatioB werden in dem Datentrager gespeichert und die zweite 
Schlusselinfonnaiion und die Datentrngerkenninfonnation werden an eine 
Veranderungseinrichtung abgegeben. Hierdutch erhalt die Veranderungseinrichtung die 

5 Veranderungsberechtigung zum Verandem einer oder mehrerer Applikationen des oder der 
durch die Dat^alrageikenninformation gekennzeichneten Datentrager. Als Veranderung 
einer Applikation eines Datentragers wird hierbei die Erst-Installation der AK>likation auf 
dem Datentrager, das Updaten (z3. neue Version) einer auf dem Datenttag^ bereits 
installierten Applikation sowie das Loschen einer Applikation eines Datentragers 

10 verstanden. 

Die Veranderungseinricbtung kann somit vorteilhafterweise m einem 
Zeitpunkt, wenn die Datentragpr bereits an Benutzer ausgegeben wurden, Applikationen 
der Datentrager verandem, flir die sie die Veranderungsberechtigung durch Erhalt der 
Datentragerkenninformation und zugehorigen zweiten Schlusselinformation erworben hat 
1 5 Der Erwerb der Veranderungsberechtigung kann an die Zahlung einer 

Veianderungsberechtigungsgebuhr gebunden sein, womit eine interessante 
Geschafismethode edialten ist Besonders vorteilhaft ist hierbei, dass die VerSndenmg 
einer Applikation ernes Datentragers im Zuge einer Kommunikation des DatentrSgers mit 
der Veranderungsemrichtung erfolgen kann, ohne dass dafur ein Trastcenter zur 
20 Bestatigung der Veranderungsberechtigung kontaktiert werden muss. 

Gemafi den MaQnahmen der Anspriiche 2 und 1 1 ist der Vorteil erhalten, dass 
die Veranderungsberechtigung die Veranderungseinrichtung beispielsweise nur zur 
Installation einer neuen Applikation, nicht jedoch zum Updaten oder Loschen der 
Applikation berechtigen kannu Ebenso konnte die Veranderungsberechtigung die 
9.5 VerandftmnprsQiniichtung auch nu r zum Loschen einer Applikation und gegebenenfalls 
auch gleich zur Installation einer neuen Applikation in dem durch das Loschen fcei 
gqwordenen Speicherberdch der Speichemoittel in dem Datentrager berechtigen. Wenn 
eine neue Version einer Applikation auf alien bereits an Benutzer ausgegebenen 
Datentragem anstatt der alten Version der Applikation installiert werden soli, daim konnte 
30 eine entsprechende Veranderungsberechtigung von dem Betreiber der Applikation (z.B, 
Bank-Applikation) an den Betreiber von Veranderungseinrichtungen (z.B. Bankautomaten) 
abgegeben werden. Eine Vielzahl solcher vorteilhafter Anwendxmgsfalle sind ermoglicht, 
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wobei der Erweib der Verandenmgsberechtigung jeweils an Gegenleistimgen gebunden 
sein kaim, womit due interessante Geschaftsmethode erhalten ist. 

GemaB den MaBnahmen der Anspriiche 3 und 12 ist der Vorteil erhalten, dass 
durch die Veranderungsberechtigung, also durch die Datentragerfcenninfoimation und 
5 zugehorige zweite Schlusselinformation, die ./^likation gekennzeidinet ist, die vetandert 
werden daif. Fiir einen DatenbSger der zwei i^likationen abarbeitel; komien daher 
vorteilhaflerweise fuir jede der beiden Applikaticmen die vorstehend beschiiebenen 
unferschiedHchen VerSnderungsberechtigungen (instalUeien, updaten, Idschen) vergeben 
werden. 

10 GemSB den MaBnahmen der Anspriiche 4 und 1 3 ist der Vorteil erhalten, dass 

eine Veranderungsberechtigung zur Installation einer neuen Applikation in dem 
Datentrager vergeben werden kann, wobei die neue Applikation nicht mehr als einen 
maxunalen Speicherplatzbedatf (z3. 1 kBit) in den Speichennittehi beanspruchen darf. 
ffierdurch ist ein besonders interessantes GeschafismodeU edialten, bei dem Spmcheiplalz 

15 in bereits an Benutzer vergebenen Datenttagem vericauft weiden kann. So kdnnte ein 
KredilkartenheistBUer in den Speichezmitteln seiner Kieditkarte Speich^ 
zukiinfiige Applikationen reservieren und zu einem Zei^punkl^ wenn becdts einefgrofie 
Anzahl an Kieditkarten an Benutzer ausgegeben wurden, diesen Speicherplatz in Form von 
entsprechenden VerSnderungsberechtigungen an ein oder mehrere Firmen verkaufen, um 

20 auchderen Applikationen (z3.Kundenkarte,elektronischerFahrschein)mit der 
Kreditkarte abzuarbeiten. 

GemaB den MaBnahmen des Anspruchs 5 ist der Vorteil edialten, mit nur einer 
Veranderungsberechtigung, die dutch nur eine Datentrageikemiinfomiation und nur eine 
zweite Sdhliisselinfotmation gebildet isti eine Applikation in einer Gnippe von 

25 Datentrggem vetandert werden kann, wobei die Datentrgger alle durch die gleiche 
DatentiSgerlcsmiinfiirmatiQn gekemizeichnet sind 

GemSB den MaBnahmen der AnsptUche 6 und 14 ist der Vorteil erhalten, dass 
eine Veranderungsberechtigung bestimmte Zugrifl&rechte der Applikation kemizeichnet, 
die vetandert werden darf. Beispielsweise kSnnte eine Veranderungsberechtigung fur eine 

30 Kreditkarte vergeben werden, die zur Installation einer Applikation betechtigt, die nur die 
kontakfl>ehafi:ete und nicht die kontaktlose Schnittstelle nutzen darf und ausschlieBlich 
Lesetechte in bestimmten ffir alle .^likationen der Krediftarte gemeinsamen 
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Speicherbereichen erlaubt 

GemaB den MaBnahmen des Anspruchs 7 ist der Vorteil erhalten, dass die 
VeraBderungseimichtung mit einer der in dem Datentrager gespeicherten ersten Master 
Keyinfonnation zugehorigen zweiten Master Keyinformation Zugiiflferechte fur einzelne 
S Oder alle von dem Datentrager abgearbeiteten Applikationen auf Scbnittstellen oder 

Speicherbeieiche andem kann. Ebenso kSnnte mit BSlfe der Master Keyinfomiationen eine 
neue erste Schlusselinfotmation in dem Datentrager und eine neue zweite 
Schlusselinformation in der Veranderungseimichtung erzeugt und gespeichert werden, um 
eine weitere Applikation verandem zu koimen. 
10 GemaB den MaBnahmen des Anspraclis 8 ist der Vorteil erhalten, dass mit 

EQlfe der Master Keyinformationen das Verandem der Zugriffsrechte und/oder das 
Erzeugen von Schlusselinformationen auf nur eine bestimmte Applikation eingesclirankt 
werden kann. 

GemaB den MaBnahmen des Ansprachs 9 ist der Vorteil erhalten, dass 
IS zusStzlich zur Oberprufung der Schlusselinformation von dem Datentrager bestimmte 
Eigenschaften der zu vexSndemden Applikation gepruft werden, bevor eine Veranderung 
der Applikation eimoglicht wird. Hierbei kdnnte bdspielsweise der Betreiber der 
Applikation eine diitte Schlusselinformation in der Applikation speichem, deren 
Richtigkeit vor der Veranderung der Applikation durch den Datentrager gepruft wird 
20 GemaB den MaBnahmen des Anspmchs 15 ist der Vorteil erhalten, dass 

sogenannte Java Applets von Datentragem besonders vorteilhaft abarbeitbar sind 

GemaB den MaBnahmen des Ansprachs 16 ist der Vorteil erhalten, dass die 
Veranderungseimichtung durch einen Betreiberconotputer des Betreibers einer Applikation 
und eine Leseeinrichtung (zJ3. Bankautomat) geWldet sein konnen, die uber ein Datennetz 
25 — fal^ TtitRTnat Pirmennetg:. Te1e nhotitiet!?;,.,.1 miteinander verbunden sind, Auf diese Weise 
sind eine Vielzahl vorteilhafter Anwendungen ermSglicht 



Die Erfindung wird im Folgenden anhand von einem in den Figuren 
30 dargestellten Ausfiihrungsbeispiel beschrieben, auf das die EriBndung aber nicht beschiankt 
ist. 

Die Figur 1 zeigt einen Datentrager, in dem eine Veranderungseinrichtung eine 
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weitete Applikation installiert. 

Die Figur 2 zeigt ein Veranderungsverfahren zum Veranda einer Applikation 
in dem Datentrager gemafi Figur 1 . 

5 

Die Figur 1 zeigt symbolische den Herstellungsprozess H einer Smart Card S, 
die einen Datentrager bildet und die nach abgeschlossenem Herstellungsprozess H zum 
kontaldlcHien Kommunizieren mit einem Terminal 1 und yxm kQnlaka>eIiaftBten 
Kommunizieren mit einem Lesegerat 2 ausgebildet ist BdL dem Herstellungspioze^ H 

10 wird ein integrierter Schal&reis in eine Hastikkarte eingebracht und mit einer Antenne 3, 
zum kontaktlosen Kommunizieren, und mit einem Kontaktfeld 4, zum kon1aktt)ehafteten 
Kommunizieren, verbunden. Ein solcher Herstellungsprozess H ist seit langem bekannt, 
wesdialb hierauf nicht naher eingegan^n ist 

Figur 2 zeigt ein Erteilungsver&hren E, um einer VecSnderungseinrichtang 5 

15 eine Veianderungsberechtigung zum Veiandeni einer i^likation in ^ 

oteilen. Als Applikation mrd hierbei die Art der Vorwendung (z3: als Kzeditkarte, als 
Museumstidtet,...) der Smart Card S und werdrai somit Rechnermittein 6 der Smart Card S 
verstanden, die ein Sofiwareprogramm zur ^moglichung dieser Verwendung abaibeiten. 
Bei dem Herstellungsprozess H der Smart Card S werden ein oder mebr^ 

20 .^tplikationen, beziehungsweise die enlsprechenden Softwareprogramme, in 

Speichennitteln 7 der Smart Card S gespeichert. Weiters erhalt jede Smart Card S bei dem 
Herstellungsprozess H eine Datentragerkenninformation also gemSB diesem 
Ausfiibrungsbeispiel eine fortlaufende Seriennummer ID, die in Sicherbeitsspeicbermittehi 
8 der Smart Card S gespeichert wird und mit der jede Smart Card S eindeutig 

25 identifizierbar ist Die Seriennummer ID ist bierbei durch eine 64 Stellen aufweisende 

binSre Bitkombinalion gebildet und die Sicherheitsspeichermittel 8 sind durch emen gegen 
Angri£fe eines Hadceis besonders geschutzten Berdch der Speichermittel 7 gebildet 

GemaB Block Bl des Erteilungsverj^ens E eizeugt ein Computer C bei dem 
Herstellungsprozess H eine erste Schliisselinformation Kl und eine zugehorige zweite 

30 Schliisselinformation K2 ftir jede durch ihre Seriennummer ID gekennzeichnete Smart 
Card S. Weiters wird fiir einige oder alle durch eine Seriennummer ID gekennzeichnete 
Smart Cards S eine erste Master Keyinformation MKIl und eine zweite Master 
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Keyjnfonnation MKE etzeugt, woiauf nachfolgend xah&: eingegangen ist. Die 
Schlusselinformationen Kl und K2 sowie die Master Keyinfonnationen MKIl und MKI2 
kSnnen hierbei durch sogenannte symmetrische binare Schliissel oder durch sogenannte 
unsymmetrische binare Schliissel gebildet sein, wie dies dem Fachmann seit langen 
bekannt ist. Dem Fachmann sind auch andere jeweils zwei SchliisselinfittmatiQtten 
auftireisende Verschliisselungsverfehren bekannt, die in diesem Zusammenhang ebenfeUs 
verwendbar sind. 

Die vcm dem Ckxvapatsx C etzeugte erste SchlQsselinfinmation Kl und 
gegebenen&lls erzeugte erste Master Keyinfannation MKIl werden der Seriennummer ID 
der Smart Card S zugeoidnet in den Sicherheitsspeichermitteln 8 der Smart Card S 
gespeichert und von einer von der Smart Card S abgearbeiteten Sicherheits^likation AS 
verarbeitet, wie dies nachfolgend naher beschrieben ist Gegebenen&lls alle von dem 
Computer C erzeugten Informationen, auf jeden Fall aber die Seriennummer ED, die zweite 
Schlxisselinformation K2 und die gegebenen&Us zusatdich erzeugte zweite M^ter 
Keyinformation MKI2 v/erden in Sicherheits^chermitteln 9 des Herstellers der Smart 
Cards S gespdchert. Die in den Sicherheitsspeichermittehi 9 gespeicherten Infinmalionen 
konnen nunmehr in weiterer Folge zum Erteilen von VerSnderungsberechtigungen zum 
VerSndem von Applilcationen in der Smart Card S verwendet werden, worauf anhand von 
Anwendungsbeispielen nachfolgend eingegangen ist. 

GemaQ einem ersten Anwendungsbeispiel ist angenommen, dass der HerstdQer 
der Smart Cards S eine Million Stuck Smart Cards S fur ein Kreditkartenuntemehmen 
heistellt. Hierfur wird bei der Herstellung der Smart Cards S eine Kreditkartensoftwaie in 
den Speichermittehi 7 gespeichert und von den Rechemuittehi 6 als erste Applikation Al 
abgeafbeitet In den Sicherheitsspeichennittehi 8 der Smart Card S wird bei der Herstellung 
die Seriemnimmer ID = .■ 123...84". die erste Schlfisselinformation Kl = und die 
erste Master Keyinformation MKIl = „88...3" gespeichert. In den 
Sicherheitsspeichermittehi 9 des Herstellers wird der Seriemiummer ID = „123....84", die 
der ersten SchlQsselinformation Kl zugehorige zweite Schlusselinformation K2 = „3....5" 
und die der ersten Master Keyinformation MKIl zugehorige zweite Master Keyinformation 
Mm = „99,...4" zugeordnet gespeichert. Mit einer Wirkverbindung W ist angedeutet, dass 
samdiche erzeugte Smart Cards S an Kunden des Kreditortenuntemehmens ausgeg^en 
werden. In weiterer Folge werden die Smart Cards S zur Bezahlung von Rechnungen in 
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Geschaften verwendeli wie dies aUgemein bekamrt ist 

Bei der HersteUung der Smart Cards S wurde daiauf geachtet, dass die 
Spdchetmittel 7 auch nach dem Knspeichem der Kredifikartensoftware noch ausreichend 
zusatzUchen Speicheiplate auftireisen. Beispielsweise konnte die Kiediikartensoftwaie 
3 kBit des Speicheiplatzes der Speicheimittel 7 und die Sidierheitsspeichennittel 8 4 kBit 
belegen, wobei noch 17 kBit der insgesamt 24 kBit der durch ein EEPROM gebUdeten 
Speichennittel 7 frei bleiben. Weiters wurden die Rechnennittel 6 bezuglich ihier 
Rechnerleistung so bemessen, dass bis zu vier Applikationen Al, A2, A3 und A4 paiaUel 
Oder audi zeitveisetzt abgearbeitet weiden konnen. 

GemaB dem Anwendungsbeispiel ist nun angenommen, dass eine groBe 
Waienhauskette Kundenkarten an ilne Kunden ausgeben mSchte, urn diesen Kunden 
besondere Einkaufikonditionen oder RQckvergutungen zu gewahren. Da sehr vielen 
Kunden der Waienhausfcette ihre Einkaufe mit den Smart Cards S des 
Kiedifkartenuntemehmens bezahlten und es ffir die Kunden angenehmer ist, nicht noch 
eine weitere Plastikkarte als Kundenkarte mitnehmen zu mussen, erwirbt die 

Waienhauskette bd dem Kreditkartenuntetnehmen eine VerSndenmgsberechtignng z^ 
Installation ihrer Kundenkartesoftwaie als zweite Applikation A2 auf den Smart Cards S. 

Bei einem Block B2 des Erteilungsverfehrens E ftagt die Waienhauskette als 
zukunftigerBetreiber der Applikation A2 bei dem Kreditkartenunletnto 
beziehungsweise bei dem Heisteller der Smart Cards S urn erne VerSnderungsberechtigung 
an und bezahlt den hierfur geforderten Kau^s. Hierbei kauft die Warenhauskette im 
wesentUchen den Speicheiplatz in den Speicheimittehi 7 samtUcher an Kunden beieits 
ausgegebener Smart Cards S, urn die Kundenkartensofhvare in den Speicheimittehi 7 zu 
spdchem. Der Kauris wird hietbei von dem Speicheiplatebedarf und der Anzahl der an 
Kunden ausgegebenen Smart Cards S abhangig sein. Weiters kann der KauQneis davon 
abhSngig gemacht werden, welche Schnittstellen - nur die kontaktlose oder nur die 
kontaklbehaftete oder beide Schnittslellen - von der zweilen Applikation A2 benotigt 
wenien, sowie welche Rechnerleistung fOr die Abarbeitung der zweiten Apphkation A2 
nStig sem wird ZusStzIich wird der Kau^aeis davon abhaagig sem, ob auch Master 
Keyinfoimationen fBr die Smart Cards S eizeugt wurden und ob die zweiten Master 
KeyinfiMmationen MKI2 mit verkaufl werden. Durch den Verkauf von 
VeiSnderungsberechtigungen ist somit ein interessantes Geschafemodell erhalten. 
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Nach einer Bimgfxag des Kieditkartenuntenielunens beziehungsweise des 
Herstelleis der Smart Cards S mit dem Betreiber der zweiten Applikation A2, der 
Warenhauskette, werden bei einem Block B3 die Vetandermigsbeiechtigungen, also die 
Seriennmmnem ED samt zugehdrigen zweiten Schlusselinformationen K2 je Smart Card S 
5 vmd gegebenenfaUs auch zweite Master Keyiofonnationen MKI2, an einen 

Betreibercomputer 10 des Betreibeis der zweiten Applikation A2 ubermittelt. Dieses 
ObMmitteln kann - wie in Figur 1 daigestellt - iiber ein Datrainetz NKT erfblgen, wobei 
allerdings hdchste SicherbeitsvorkehiungBn, beispielsweise dutch das Einschalten eines 
Tnisteenters, getcoffen werden mOssen, um zu verbindem, dass die 

10 VeiSnderimgsberechtigimgen von ni(^tberechtigtePeisanenen3p6ngBn werden. Die 
Veianderungsberechtigungen k3nnten allerdings auch dutch manuelle Obergabe einer die 
entsiprechenden Informationen sfpdchemde C3>-ROM, TTar^HtsV oder DVD an den 
Betreiber der Applikation A2 erfolgen. Die VerSnderungsberechtigungen stehen bieiauf in 
dem Betreibercomputer 10 zur Vetfiigung, 

1 5 GemaB dem Anwendungsbeispiel ist angenommen, dass zur Installation der 

zweiten Applikation aus Sicherheitsgrund^ ausschlieSlich die kQntakfl)ehafiete 
Schnittstelle der Smart Cards S verw^det weiden solL Blerfur wird die 
Veranderungsdnrichtung 5 zum Installieren der zweiten Applikation dutch den 
Betteiberconqmter 10 und eme Vielzahl an uber ein Datennetz NET mit dem 

20 Betreibercompuler 10 verbundene Lesegetate 2 gebildet Sobald ein Kunde seine Ware mit 
der Kreditkartemqpplikation der Smart Card S bezahlen mochte und der Vetkaufer die 
Smart Card S in das Lesegerat 2 einfuhrt beginnt bei einem Block B4 der 
Ihstallationsvorgang der zweiten Applikation auf der Smart Card S. 

Am Anfang des Installationsvor^gs ubermittelt die Smart Card S fiber 

25 SchnittstellCTmittel 1 1 , das Kontaktfeld 4 und ein Kontaktfeld 12 des LesegerSts 2 ihre 

Seriennummer ID. Eine Rechnerstufe 13 des Lesegerats 2 ubermittelt die Seiiennummer ID 
an den Betreibercomputer 10, der hierauf priift, ob es sichbei der Smart Card S um eine 
gfiltige Smart Caid S handelt Gegebenen&lls konnte die Smart Caid S mit ihter ersten 
Schlusselinformation Kl ein Codewort verschlussehi und iib^ das Leseg^t 2 an den 

30 Betiieiberconq)uter 10 ubermittehi, welches verschliisselte Codewort in dem 
Betreibercomputer 10 nur durch die zugehorige zweite Schlusselinformation K2 
entschlusselt werden kann. Dieses Prufen der Giiltigkeit der Smart Card S dient um zu 
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vethmdem, dass die zweite Applikation A2 auf einer ungffltigeii Smart Card S instaniert 
wild. 

Wenn bei dem Block B4 die Gifltigbeit der Smart Card S festgestellt wurde, 
dam wird die Iiistallatioii der zweiten Applifcation A2 bei einem Block B5 fortgesetzt und 
andemfells beendet Bei dem BlockBS wird die der Seiieimummer ID der Smart Card S in 
dem Betreibercomputer 1 0 zugeordnete zweite Schliisseliirformation K2 eimittelt iind fiber 
das Lesegeiat 2 an die Sicherheitsapplikation AS der Smart Card S abgegeben. 
GegebenenfeUs kann aus Sicherheilsgrunden auch eine VerscMusselung der zweiten 
ScHusselinfoimation K2 dmchgefahrt weiden. Die Sichedieits^likatian AS prOft hierauf 
bei einem Block B6, ob die in den Sichetheitsspeicheimitteln 8 gespeicherte erste 
Schlusselinformation Kl zu der von der Veianderungseinrichtung 5 abgegebenen zweiten 
Schlfisselinfiwanation K2 zugehdiig ist, wobd festgesteHt wiid, ob die 
VerSndOTungseinrichtHng 5 eine VerSnderungsberechtigung zur Veranderung 
beziehungsweise zur Installation der zweiten Applikation A2 hat. 

Wenn die Priifungbei demBlockB6 ergibt, dass die VerSndenrngseinrichtung 
5 zur InstaUation der zweiten Applikation A2 berechtigt ist, dann wird die zweite 
Applikation A2 in einemBlockB? in den Speicheimittehi 7 der Smart Card S gespeicbert. 
Hietfur ubermittelt der Betriebscomputer 10 die zweite Applikation A2 fiber die 
Leseeinrichtung 2 und die Smart Card S ISsst den Zugiiff der Leseeinrichtung 2 auf die 
Speichermittel 7 in bestimmtem Umfeng zu. Der Umfeng beziehungsweise die Art der 
Veranderung der zweiten Applifcation A2 duicb die VerSnderungseinrichtung 5 wird 
Merbd durch die Art der Veranderangsberechtigung, also dutch die zweite 
Schlfisselinformation K2 festgelegt und durch die Sicherheitsapplikation AS in der Smart 
Cards S festgestellt. 

Die Veranderungsberechtigung kann den Betreiber der zweiten Applikation A2 
zur Installation der zweiten Applikation A2 in einem bezugUch seines Speicherplatzes 
begtenzten (zB. maximal 5 kBit) TeU in den Speichennitteln 7 berechtigen. Hieidurch ist 
sichergestellt, dass tatsSchHch fur vier Applikationen Al bis A4 ausceichend Speicheiplatz 
in den Speicheimittehi 7 voifaanden ist 

Weiteis k&men durch die VerSnderungsberechtigung die Zugrifferechte der 
zweiten Applikation A2 auf ^ die Applikationen gemeinsame Speicherbereiche der 
Speicheimittel 7 und auf die Schnittstellen des Smart Card S festgelegt sem. BBetbei 
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kfinnt© die Kxmdenkaxtenapplikation bdspielsweise ausscMieBHch die kontaktlose 
SchmttsteUe zur Kammumkation von Kundendalen und Ruckvergiitimgen verwenden. 

Weiters kann durch die Vetandeningsberechtigung festgelegt sein, zu welcher 
Art der Verandening einer Applikation die Verandenmgseinrichtung 5 berechtigt ist 
Hieibei konnte die Veianderungseinriclitung 5 auch nur zum Ersetzten der zweiten 
Applikation A2 durch eine neuere Version der Kundenkartenapplikation oder durch eine 
ganzhch andere zweite Applikation A2 berechtigt sein. Ebenso konnte die 
Veignderungsberechtigung ausschlieBUch das Loschen der zweiten Applikation 
enndgUchen. Ebenso kSnnen Kombinationen dieser M6^chkeiten oder alle diese 
MSglichkeiten mit nur einer zweiten ScUflsselinformation K2 mogUch sein. 

Weiters kann beziehungsweise nmss die VeiSndenrngsberechtigung auch die 
>^likation kennzeichnen, die verSndert werden darf, urn zu verhindem, dass 
beispielsweise eine felsche Applikation aus den Speichennittehi 7 der Smart Card S 
geloscht wird. Die Veranderungsberechtigung konnte aber auch nur einen bestimmten 
Speicherbereich in den Speichermitten 7 kennzeichnen in dem eine beliebige oder eine 
vorgeschriebene Anderung durchgefiihrt werden darf. 

Wenn in der Smart Card S die erste Master Keyin&nnation MKIl gespeichert 
wurde und wenn an die VerSnderungseiniichtung 5 die zugehSrige zweite Master 
KeyinformationMiai fur die Smart Card S abgegdjen wurde, damn ist der 
VerSnderungseiniichtung 5 das Vergndem von ZugrifBa^chten in der Smart Card S 
und/oder das Eizeugen weiterer erster Schlusselinfomiationen Kl in der Smart Card S und 
weiterer zweiter Schlflsselinformationen K2 in dem Betreibetcomputer 10 ermoglicht Es 
sei angenommen, dass die Warenhauskette nicht mehr ausschlieBUch kontakflos 
kommunizierende Teimmals 1 zur Kommunikation von Kundendaten, sondem zusatzUch 
auch die kontaktbehaftet kommunizierenden L eseeinrichtungen 2 einsetzen mSchte. Da die 
zweite Applikation A2 bei ihrer Installation nur die Zugiiffscechte auf die kontaktiose 
Scbnittstelle (Schnittstelle 1 1 und Antenne 3) erhalten hat, ist dies aber nicht mSglich. Die 
Veranderungseinrichtung 5 kann nunmehr durch Verschliisselung eines Zugrififetecht- 
VetSnderungsbefehls mit der zweiten Master Keyinfomaation MKE und Cbermittlung des 
vetschliisselten Codes an die Smart Caid S erreichen, dass die Sicherheilsapplikation AS 
durch EntscMusselung des empfengenen Codes mit der in den SicherheitsspdchennitteM 8 
gespeicherten ersten Master Keyinformation MKIl die Veranderungsberechtigung der 
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Veranderimgseimichtung 10 feststellt imd den ZugnJQ&iecht-VerandenmgsbefeU ausfuhrt 
Hierdurch edialt die zweite Applikation A2 sowohl auf die kcmtakdose Schmttstelle als 
auch auf die kontaktbehaftete Sclmittstelle der Smart Card S ZugrifiT. Somit kdnnexi 
vorteilhafterweise auch bei Applikationen, die von an Kunden bereits ausgegebenen Smart 

5 Cards S abgearbeitet werden, die Zugrifisrechte auf Schnittstellen und ebenso auf 
Speicherbereiche der Speichennittel 7 verandert werden. 

Weiters konnte der Fall eintreten, dass die in den Sicherheitsspeichermitteln 8 
gespeicherte erste Schliisselinformation Kl bereits zur Veranderung einer Applikation 
verwendet wurde oder von Hackem ausspioniert wurde und somit gegebenen&lls nicht 

10 mehr verwendbar ist. Jn diesem Fall kdnnte mit dem Betrdbercomputer 10 eine neue erste 
und zweite Schlusselinformation erzeugt werden, wobei die neue erste 
Schlusselinformation mit der ersten Master Keyinformation MKIl verschliisselt als Code 
an die Smart Card S ubennittelt werden kdnnte. Die Sicherheitsapplikation AS der Smart 
Card S kdnnte hierauf den enpfangenen Code mit der zweiten Master Keyinformation / 

IS MKI2 enlscblusseln, worauf vorteilhafterweise die neue erste Schlusselinformation in den 
Sicherheitsspeichennittehi 8 der Smart Card S zur VerSnderung einer wdteren Applikation 
gespeichert werden konnte. 

Die erste Master Keyinformation MKIl und die zweite Maser Keyinformation 
MKI2 konnten auch derart erzeugt werden, dass nicht die gesamte Smart Card S 

20 betreffende Veranderungen durchgefiihrt werden konnten, sonder nur auf eine Applikation 
bezogene Veranderungen der Zugri^rechte oder die Erzeugung neuer 
Schlusselinformationen fiir nur diese eiae Applikation durchgefuhrt werden konnten. 
Hierdurch konnte sichergestellt werden, dass bestimmte kritische Applikationen (z.B. 
Kredifkartenapplikation, Bankapplikation,...) keinesfalls, also auch nicht mit Hilfe einer 

25 Master Kqnbiformation, verandert werden konnten, da die Berechtigung der ^foster 
Keyinformationen auf andere Applikationen eingeschrankt ware. 

Als weitere Sicherheitsvorkehrung kdnnte feslgelegt sein, dass die 
Veranderung der Applikation in der Smart Card S durch die Veranderungseinrichtung S 
von der Smart Card S nur daim zugelassen wird, wenn bestimmte Eigenschaften der zu 

30 verandemden Applikation festgestellt werden. Beispielsweise konnte von dem Betreiber 
der Applikation in die Applikation eine dem Hersteller der Smart Card gegebenenfaUs 
nicht bekannte weitere Schlusselinformation eingebracht worden sein, deren versteckte 
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wdteie ScUusselinfonmtion eine Eigenschaft der Applikation bildet Die Smart Cards S 
wfirde erne VerSnderung (z.B. laschen) dieser in der Smart Card S gespeicherten 
Applikation dutch die Veranderungseinrichtung 5 nur dann zugelassen, wenn die 
Verandenmgseinriclrtung 5 eine der weiteien ScWiisselinfoimatio^ 

5 ScMusselinfo„nationandieSmartCardSubemiittelt.Hie«iurchistderV^ 

dass der Betre,T,er der Applikation weitereSicheAeitsvorlcehnmg^ 
tre£fenkann. 

kSnme der Be«« SmM C«d. S eine. Compter 8an« etom ange^U 
10 >»«aWo»bmimiim2iareiidemTemiiii^ 

Ve.a»den»gsetonch*mg MMet CSemSB dem ™eiteo Ausffllmmgsbei^iel is. der 

C««wuto fiber da. fi««,«, „A «nem Server eines Naclmchtemeoders 
dem Nad.riel«en ahnAer sind »«I v<m dem ein Nacl»iclae,.Abom»m«^ 
Der Benuteer lan. ei„ Anmeldefonnular fflr da. NachricIMe..Abo«»me« 
15 '»*g*«'«toeKredift.rte™„erzurBezahlungde.Nadrieten.Ab^ 

(Block B2). AmohlieBend wird ilber das Inta«, arf den Computer des Benmzen, eine 

Verandenn,gsbe«chfi8ung(ronndKl)g.^ol«.nritdereineNadnfcl^.Appl^^^ 

indieSnMrtCardins«Hertweni«I™n.Ge«ai8domvo«el»dbes6W^ 

fi««aIla«on,v».gang™iMer«rfdieN«*ricI«en. 

0 Sn«Cari8«pdcl»rtDerBenazertaansehlieBend,mtdetSmartCarddie 
Ma^ichkeh bei beUdngen Computem mk kooteWos kommunizierenden Temrfnals 
besonden, aktaelle NaeWohten des Kachrioirten-Abonnements ahzurufen. Weiteft war in 
demNaclrichten.AbonnementanoheineKto„karteftoeinenKinobe«K*enflaIfc^ Der 

Bemitzer kam, somit bei einem Teronnal einerKinokasse seine Smart Canl v^weisen 

> woraufdieNadmcltte.-y^litolionderSn.artCardbeieiDerl.^wl 

Konnnunikaaon einnialig eine Kinokarte bertSBgt Dieses Service irt mSgHch, da der 

Beaeiber des Kinos nat dem Betiaber des Nachddrtensenders koopeiiert 

Als DalenMger I^te anch eto Tmnsponder ein Pers^ial Digital Assistant ein 
Mobihel,^ Oder anderes amHehes Qett verwendet werden. Die fcontaktlose 
Komn»nrikalion kann beiqrfebweise gemSB einem der ver6ffintlichten Standanls 
IS014>M3, IS015.693, ISO18.000, ECMA 340 Oder anch gemSB einem der 
Telephonstandaids GSM oder UMTS, etfiilgen. 
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Dutch das etfindungsgemaBe Erteiliingsveriahien, den erfindungsgemaBen 
Datentrager und die erfindvmgsgemaBe Ver§adenmgseiimchtuiJg ist somit zosatzlich zu 
den vorstehendbeschriebenen Vorteilen der wesentliche Vorteil erhalten, dass inbereits an 
Kunden ausgegebenen Datentragem Applikationen verandert und somit zusatzUche 

5 Services mit den Datentragem ermoglicht werden konnen, ohne dass dafiir ein Trustcenter 
eingebunden weiden muss. Durch das Vermeiden eines Trustcenters kann die Verandenmg 
von Applikationen auch durch ..off-line" arbeitende Veranderungseimichtungen 
durdjgefiairt werden und es konnen Kosten far das Trustcenter eingespait werden. Dutch 
den Vedcauf der Vetanderungsberechtigungffla ist eine interessante Geschafismefliode 

10 erhalten. 
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Patentanspruche: 

1. Erteilimgsver&hien (B), um einer VeiSnderungseiiirichtuiig (5) erne 
Verandeningsberechtigung zum Verandem einer Applikation in einem Datentrager (S) zu 
erteilen, wobei folgende Schritte abgearbeitet werden: 

5 Erzeugen einer ersten Schliisselinformation (Kl) tmd einer zugehorigen zweiten 

Schliisselinformation (K2) fiir einen oder mehrere durch eine Datentragerkenninformation 
(ED) gekennzdchneten Datentrager (S); 

Erteilen der Veranderungsberechtigung fur dmch die Datentrag^enninfixntnatiQn (ID) 
gekennzeidmete Datentrager (S) durch Abgeben der Datentragerkenninformation (ID) und 

10 der zugeborigen zweiten Schliisselinfomiation (K2) an die VerSnderungseiniichtung (5); 
Obeiprufen der Zugehorigkeit der in dem Datentrager (S) gespeicherten ersten 
Schlusselinformation (Kl) zu der von der Veranderungseinrichtung (5) an den Datentrager 
(S) abgegebenen zweiten Schlusselinformation (K2) in dem Datentrager (S) und im Fall 
eines positiven Prufungsergebnisses; 

15 Zulassen der Veranderung der Applikation (Al, A2, A3, A4) in dem Datentrager (S) durch 
die Veranderungseinrichtung (S). 

2. Erteilungsver&hren OB) gemaB Anspruch 1, wobei die 
VeiSnderungsberechtigung zum Ihstallieren und/oder zum Updaten und/oder zum L5schen 
der Applikation (Al, A2, A3, A4) in dem DatenttSger (S) berechtigt 

20 3. Erteilungsver£ahxen (E) gemaB Anspruch 1 , wobei die 

V^Snderungsberechtigung nur zur VerSnderung einer bestimmten Applikation (Al, A2, 
A3, A4) in dem Datentrager (S) berechtigt, 

4. Erteilungsverfehren (E) gemaB Anspruch 1, wobei die 
Veranderungsberechtigung nur zur Installation einer Applikation (Al, A2, A3, A4) mit 

25 einem voigegebenen maximalen Speicherplalzbedarf in dem Datentrager (S) berechtigt. 

5. E^ilungsver&hren (E) gemaB Anspmch 1, wobei die 
Datentragerkenninformation (ID) eine Gnippe von Datentragem (S) kennzeichnet 

6. Erteilungsverfehren (E) gemSB Ansfpmch 1, wobei die 
Veranderungsberechtigung auch die Zugrif&techte der in dem Datentrager (S) zu 

30 verandemden Applikation (Al, A2, A3, A4) auf Speicherbereiche und SchnittsteDen (3, 4, 
111) des Datentragers (S) festlegt 

7. Erteilungsverfiahren (E) gemaB Ansprach 1, wobei folgende weitere Schritte 



PHAT030014EP-P .2- 
abgeaibeitet weiden: 

Eizeugen einer ersten Master Keyinfonnation (MKIl ) und einer zugehorigen zweiten 
Master Keyinfimnation (MKI2) ffir einen oder mehrere durch eine 
Datentragerlcenninfc«n«lion (TO) gekein^iclm^ 
5 <te»«Datentrager(S)gespeichertenersten Master Keyinfoimati 

m der Veianderungseinrichtung (5) gespeicherten zweiten Master Keyinformation (Mm) 

dasVerandernvonZugrif6rechtenindemDatentrager(S)und/oderdasE,zeugen 
Schlusselinfonnationen in demDatentrager (S) undder VeiSndeningseimichtung (5) 
mSglich ist 

10 8. Erteihjngsverfehten (E) gemSB Anspruch 7, wobei die erste Master 

Keyinfotmation (MKIl) und die zugehorige zweite Master Keyinformation (MKS2) nur das 
Verandem von Zugriflferechten einer bestinnnten Applikation (Al . A2, A3. A4) in dem 
Datentrager (S) und/oder das Eizeugen weiferer Schlusselinformationen in dem 
Datentrager (S) und der VerSnderungseinrichtung (5) zur Verandenmg einer bestimmten 

15 Applikation (Al, A2, A3, A4) ermoglicht 

9. Erteilungsver&hren (E) gemSfi Anspruch 1 . wobei die VeiSnderung der 
Applikation (Al . A2, A3, A4) in dem DatentrSger (S) dmch die Veranderungseinrichtung 

(5) von dem Datentrager (S) nur dannzugeIassenwird,wennbestimmteKgensc^^ 
zuverandemden Applikation (Al. A2, A3. A4) festgestellt werden. 

iO 10. Datentifiger (S) zum Abarbeiten zumindest einer Applikation (Al, A2 A3 

A4)mit ' ' ' 

2«mindesteinerSchnittstelIe(3,4. H) zum kontaktlosen und/oder fa,ntaktbehafteten 
Kommunizier^ von Informationen und mit 

Rechnermitteln(6)zumAbarbeitenderzumindesteinenApplikation(Al.A2.A3 A4) 

5 v ^obeiuberdieSclurittsteUen(3,4,ll)kommunizierteoderindemDatentrage^ 
gespeicherte InfimnatiQnen verarbeitet weiden, und mit 
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Speichemritteln (8) zum Speichem einer ersten ScWusselinfi«mation und einer 

zugehSrigen den DatenttSger (S) kennzdchnenden Datenttagericenninformation (ID) und 
mit 

Prafinitteln (6, AS) zum Prufen einer Veianderungsberechtigung einer 
VeiSnderungseimichtung (5) zur VerSnderung einer Applikation (Al . A2, A3, A4) in dem 
Datentrager (S) uber die Schnittstelle (3, 4, 1 1), wobei die Prufinittel (6, AS) zum Prufen 
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der Zugehdrigkeit der in den Speichetmitteln (8) gespdcherten ersten Schlusselinfonnation 
(Kl) zu der von der Veianderungseinrichtung (5) an den Datentrager (S) abgegebenen 
zweiten Schlusselinfoimation (K2) ausgebildet sind und mit 

Veranderungsmitteln (6), die nach dem Bestatigen der Veranderungsberechtigung der 
5 Veranderungseinrichtung (5) durch die Priifimittel (6, AS), zum Ermoglichen der 
Verandemng der Applikation (Al, A2, A3, A4) in dem Datentrager (S) durch die 
Vetandemngseimichtung (5) ausgebildet sind. 

1 1 . Datentrager (S) gemaB Anspruch 10, wobei die Prufi^ 

BestStigen einer beschrankten Veianderungsbereclitigung ausgebildet sind, die nur zum 
10 Ihstallieren und/oder zum Updaten und/oder zum L5schen der Aiqplikation (Al , A2, A3, 
A4) in dem Datentrager (S) berechligt. 

12. Datentrager (S) gemaB Anspruch 10, wobei die Priifinittel (6, AS) zum 
Bestatigen einer beschrankten Veranderungsberechtigung ausgebildet sind, die nur zur 
Veranderung einer bestimmten Applikation (Al , A2, A3, A4) in dem Datentrager (S) 

IS berechtigt 

13. Datentrager (S) gemaB Ansprach 10, wobei die Priifinittel (6, AS) zum 
BestStigen einer beschrankten Veranderungsberechtigung ausgebildet sind, die nur zur 
Installation einer Applikation (Al, A2, A3, A4) mit einem vorgegebenen naiaximalen 
Speicherplatzbedarf in dem Datentrager (S) berechtigt 

20 14. Datentrager (S) gemaB Ansprach 10, wobei die Priifinittel (6, AS) zum 

Bestatigen einer Veranderungsberechtigung ausgebildet sind, die die Zugrifferechte der in 
dem Datentrager (S) zu verandemden Applikation (Al, A2, A3, A4) auf Speicherbereiche 
der Speichermittel (7) und Schnittstellen (3, 4, 1 1) des Datentragers (S) festiegt 

15. Datentrager (S) gemaB Ansprach 10, wobei die Rechenmittel (6) zum 
25 Abafbeiten einer durch ein Java Applet gebildeten .^pplikation (Al, A2, A3, A4) 

ausgebildet sind. 

16. Veranderungseinrichtung (S) zum V^Sndem einer Applikation (Al, A2, 
A3, A4) in einem Datentrager (S) mit 

zumindest einer Schnittstelle (12) zum kontaktiosen und/oder kontaktbehafiieten 
30 Kommunizieren von Informationen mit einem durch eine Datentragerkenninformation (ID) 
gqkeimzeichneten Datentrager (S) imd mit 

Speichermittehi zum Speichem zumindest einer einen Datentrager (S) kermzeichnenden 
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ly^^^^t^emnn&mnation (ID) und zugeh&igen zweiten Schlusselinfonmtion (K2) und 
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Rechnemrittein (13) zum VerSndem von Applikationen (Al, A2, A3, A4) in Datenttag«m 
(S) iiber die Schnittstelle (12). wobei bei einer Kommunikation mit einem durch eine 
gespeicherte Datentiagerkenninfonmtion (GD) gekennzeichneten DatentrSger (S) die 
Veranderungsberechtigung der Veranderungseinrichtung (5) dutch Kommunikatian der 
dieserDatentragerkenninfonnation (ID) zugeh&igen zweiten Schlusselinfonnation (K2) an 
den Datentiager (S) abgegeben wird, wotauf nach Bestatigung der 
Veifinderungsberechtigung durch den DatentrSger (S) die VetSndeningseinrichtung (5) 

zum VerSndem der .^likaticm(Al,A2, A3, A4) in demDatentrager(S)berechtigt und 
ausgebildetist 

17, Veranderungseinrichtung (5) gemaB Anspruch 16, wobei die 
Veranderungseinrichtung (5) durch einen die Speichermittel enlhaltenden 

Betreibercomputer (1 0) und durch eine nut dem Betreibercon^ter (10) fiber ei^ 
(NET) verbundene Leseneinrichtung (2) gebildet ist. wobei die Leseeinrichtung (2) die 
zumindest eine SchnittsteUe (12) und zumindest einen Teil der Redmennittel (1 3) der 
Veranderungseinrichtung (5) enthalt 
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Zusammenfessung: 

Erteilungsverfahren zum Erteilen einer Verandenmgsberechtigung 

Eine Verandenmgseiiirichttmg (5) ist zum Verandem einer von einem 
Datentrager (S) abgearbeiteten Applikation (Al, A2, A3, A4) ausgebildet, wobei in dem 
DatentrMger (S) eine eiste Schliisselinformation (Kl ) und in der Vetandeixingseinrichtung 
wxe zugehorige zweite Sdilusselinfoimation (K2) gespeichert ist. 

(Figtir 1) 
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